Hallo,
aus einer sicherheitsparanoiden Sicht finde ich es gut, für Routingtag "0" keine Defaultroute ins Internet einzurichten. So fällt sofort auf, wenn jemand "nach draußen telefonieren" will, den ich nicht kenne und für den keine Firewallregel definiert ist.
Mein Ansatz:
- Routingtag "1" für INTRANET (LAN- und LOOPBACK-Intfs)
- Routingtag "2" für DMZ
Problem mit ntp-Synchronisation mit externem, öffentlichem NTP-Server
Das abgehende Interface kann gewählt werden, aber das Routingtag ist anscheindend beim Übergang von "Router(intern)" nach "WAN" immer "0". Das lässt sich aber nur schwer tracen, denn die NTP-Synchronisation startet sofort beim Booten. Die Auswirkung ist aber schwerwiegender als nur eine Systemzeit, die im Jahr 1900 losläuft.
**** VPN-Verbindungen mit Zertifikaten schlagen nach dem Reboot fehl,
**** weildie Zertifikate "noch nicht gültig" sind (Router-Uhr steht auf 1900).
Mir scheint, dass interne Dienste etwas anfällig sind und das falsche Routingtag mitbekommen, nämlich nicht das des für das Quellinterface zuständigen Netzes.
BTW:
Zum neuen ARF mit Routing-Tags finde ich manchmal nicht genug Erkäuterungen im Handbuch "Addendum zu 7.20". So hat es bei mir eine GANZE WEILE gedauert, bis ich verstanden habe, dass
- in der IP-Routentabelle die Einträge für Pakete gelten, die das entsprechende Tag bereits tragen,
- in der Firewall die Regeln nicht für Pakete mit entsprechenden Routingtags gelten, sondern das angegebene Tag erst setzen!
Ein feiner Unterschied!
Gruß,
Rougu
LCOS 7.2x / ARF / interne Dienste mit falschem Routingtag
Moderator: Lancom-Systems Moderatoren
-
langewiesche
- Beiträge: 1255
- Registriert: 27 Apr 2005, 11:28
- Wohnort: Gevelsberg / Sprockhoevel im Ruhrgebiet
- Kontaktdaten:
Hi Rougu
3 Sekunden später erfolgt die Synchronisation. Wenn du dabei dann einen DNS und eine IP-Router-Trtace laufen läßt (trace # dns ip-ro) solltest du das verwendete Tag sehen
Gruß
Backslash
der Sinn, das abgehendse Interface wählen zu können liegt darin, daß das Routing-Tag übernommen wird...Das abgehende Interface kann gewählt werden, aber das Routingtag ist anscheindend beim Übergang von "Router(intern)" nach "WAN" immer "0".
Du kannst im Telnet jederzeit eine Synchronisation andordern: do /set/time/get-timeDas lässt sich aber nur schwer tracen, denn die NTP-Synchronisation startet sofort beim Booten.
3 Sekunden später erfolgt die Synchronisation. Wenn du dabei dann einen DNS und eine IP-Router-Trtace laufen läßt (trace # dns ip-ro) solltest du das verwendete Tag sehen
Gruß
Backslash
Hi Backslash,
danke für die Antwort und den Tipp zur Commandline.
Nach Zuordnung des Quellinterfaces zu INTRANET und ** Reboot ** des Routers funktioniert ist jetzt das Routingtag wie erwartet gesetzt:
[IP-Router] 2007/09/24 12:40:48,340
IP-Router Rx (intern, RtgTag: 1):
DstIP: 10.1.12.1, SrcIP: 10.1.8.1, Len: 61, DSCP: CS0/BE (0), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 53, SrcPort: 57909
Route: BRG-1 Tx (INTRANET):
[DNS] 2007/09/24 12:40:48,340
DNS Rx (LAN-1, INTRANET): Src-IP 10.1.12.1
Query Response:
STD A PTBTIME2.PTB.DE resolved to 192.53.103.104 (TTL = 13005)
Authorities (6):
STD NS DE resolved to Z.NIC.DE (TTL = 86654)
STD NS DE resolved to A.NIC.DE (TTL = 86654)
STD NS DE resolved to C.DE.NET (TTL = 86654)
STD NS DE resolved to F.NIC.DE (TTL = 86654)
STD NS DE resolved to L.DE.NET (TTL = 86654)
STD NS DE resolved to S.DE.NET (TTL = 86654)
Additional (8):
STD A A.NIC.DE resolved to 194.0.0.53 (TTL = 24732)
STD A C.DE.NET resolved to 208.48.81.43 (TTL = 23497)
STD A F.NIC.DE resolved to 81.91.164.5 (TTL = 24732)
001c0001 F.NIC.DE (TTL = 24732)
............... 20 01 06 08 00 06 00 06 00 00 00 00 00 00 00 10
STD A L.DE.NET resolved to 89.213.253.189 (TTL = 24732)
STD A S.DE.NET resolved to 193.159.170.149 (TTL = 23496)
STD A Z.NIC.DE resolved to 194.246.96.1 (TTL = 24732)
001c0001 Z.NIC.DE (TTL = 24732)
..(.SI........S 20 01 06 28 04 53 49 05 00 00 00 00 00 00 00 53
[IP-Router] 2007/09/24 12:40:48,340
IP-Router Rx (intern, RtgTag: 1):
DstIP: 192.53.103.104, SrcIP: 10.1.8.1, Len: 76, DSCP: CS0/BE (0), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 123, SrcPort: 37204
Route: WAN Tx (ARCORDSL)
"case closed".
Gruß,
Rougu
danke für die Antwort und den Tipp zur Commandline.
Nach Zuordnung des Quellinterfaces zu INTRANET und ** Reboot ** des Routers funktioniert ist jetzt das Routingtag wie erwartet gesetzt:
[IP-Router] 2007/09/24 12:40:48,340
IP-Router Rx (intern, RtgTag: 1):
DstIP: 10.1.12.1, SrcIP: 10.1.8.1, Len: 61, DSCP: CS0/BE (0), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 53, SrcPort: 57909
Route: BRG-1 Tx (INTRANET):
[DNS] 2007/09/24 12:40:48,340
DNS Rx (LAN-1, INTRANET): Src-IP 10.1.12.1
Query Response:
STD A PTBTIME2.PTB.DE resolved to 192.53.103.104 (TTL = 13005)
Authorities (6):
STD NS DE resolved to Z.NIC.DE (TTL = 86654)
STD NS DE resolved to A.NIC.DE (TTL = 86654)
STD NS DE resolved to C.DE.NET (TTL = 86654)
STD NS DE resolved to F.NIC.DE (TTL = 86654)
STD NS DE resolved to L.DE.NET (TTL = 86654)
STD NS DE resolved to S.DE.NET (TTL = 86654)
Additional (8):
STD A A.NIC.DE resolved to 194.0.0.53 (TTL = 24732)
STD A C.DE.NET resolved to 208.48.81.43 (TTL = 23497)
STD A F.NIC.DE resolved to 81.91.164.5 (TTL = 24732)
001c0001 F.NIC.DE (TTL = 24732)
............... 20 01 06 08 00 06 00 06 00 00 00 00 00 00 00 10
STD A L.DE.NET resolved to 89.213.253.189 (TTL = 24732)
STD A S.DE.NET resolved to 193.159.170.149 (TTL = 23496)
STD A Z.NIC.DE resolved to 194.246.96.1 (TTL = 24732)
001c0001 Z.NIC.DE (TTL = 24732)
..(.SI........S 20 01 06 28 04 53 49 05 00 00 00 00 00 00 00 53
[IP-Router] 2007/09/24 12:40:48,340
IP-Router Rx (intern, RtgTag: 1):
DstIP: 192.53.103.104, SrcIP: 10.1.8.1, Len: 76, DSCP: CS0/BE (0), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 123, SrcPort: 37204
Route: WAN Tx (ARCORDSL)
"case closed".
Gruß,
Rougu